Criminalidad 4.0 - Script Kiddies

Minecraft, Roblox, y Fortnite son videojuegos muy populares, en especial entre jóvenes(8-16 años). En si estos juegos son bastante inofensivos, sin embargo en ocasiones los desacuerdos entre jugadores pueden salirse de control, y los métodos de intimidación y acoso que utilizan pueden ser drásticos.

Los “swattings” son un buen ejemplo de estos métodos, se hacen realizando llamadas telefónicas a departamentos de policía, y amenazando con bombas o situaciones de toma de rehenes para provocar asaltos policiales con unidades especializadas.

Existen muchos casos de swattings, inclusive algunos realizados por jóvenes de tan solo 13 años. Algunos con desenlaces fatales, por ejemplo el de Shane Sonderman quien recibió una sentencia de 60 meses en custodia, por utilizar el swatting como estrategia de intimidación para obtener el handle de Twitter(nombre de usuario) @Tennessee de su dueño Mark Herring, quien sufrió un infarto y murió al ver las unidades policiales.

Como es posible para un joven de 13 años conocer la ubicación exacta de otro jugador, y enviarle un equipo swat? y porque acosar a una persona con swattings para obtener un nombre de usuario en Twitter?

Script Kiddies: Swatting, Doxxing, Sim Swapping.

Estos jóvenes tienen a su disposición muchas herramientas para dar con la ubicación real de otros jugadores en linea, y de esta manera hacer “doxxing” de sus enemistades revelando información personal como fecha de nacimiento, correos, aliases, contraseñas, IPs, dirección domiciliaria, y mucha información sensitiva.

En el ejemplo de abajo se puede apreciar que obtienen fotos e inclusive el peso de un joven de 15 años. Los jóvenes que realizan estas acciones malintencionadas, entre muchas otras se les conoce como “Script Kiddies”.

El termino script kiddie se usa en la cultura de hacking, para referirse de manera despreciativa a personas cuyo interés por comprender como funcionan las tecnologías, y herramientas que utilizan es nulo. Solamente quieren ejecutar un ataque y obtener resultados inmediatos.

En ocasiones los ataques que conducen pueden ser de bajo impacto, por ejemplo las invasiones o “trolleos” a conferencias de Zoom durante pandemia, que involucraban reproducir algún tipo de audio o video obsceno, o vulnerar cámaras IP con credenciales predeterminadas para reproducir sonidos.

Las herramientas que prefieren para conducir sus ataques, se caracterizan con frecuencia por su simplicidad de uso, pocos campos de configuración, e interfaces graficas.

Un ejemplo de estas herramientas es el Low Orbit Ion Cannon o LOIC, el cual le permitía al usuario a conducir un ataque de Denegación de Servicios (DoS). Los objetivos de estos ataques se designaban en foros o chats en linea, y realizaban ataques DDoS (Ataque de Denegación de Servicios Distribuido) con multiples participantes.

Esta herramienta en particular se utilizaba mucho por el grupo de hacktivismo “Anonymous”. Christopher Sudlik participo en uno de estos ataques en contra la compañía de papel higiénico AngelSoft, como resultado se le ordeno pagar $110,000 mil dólares en restitución por los daños causados.

En una publicación de su propia autoría posterior a estos eventos, comenta lo siguiente: ”No entiendo como configurar un router, ni mucho menos como hackear a una compañía internacional...” Es evidente que a pesar de no saber como funcionaba la herramienta decidió utilizarla para ejecutar un ciberataque, esto no lo eximio de las consecuencias de sus acciones.

Sin embargo, a pesar de su característico bajo nivel de sofisticación, y de no producir sus propias herramientas o usar las que son conocidas, no implica que los script kiddies no posean la capacidad de generar perjuicios importantes a sus victimas.

Para entender mejor uno de estos ataques, y el motivante que lo impulso necesitaremos primero entender que son los OG users, y el lugar que ocupan en la cultura de los script kiddies.

OG users: Prestigio en nombres de usuario.

Un “OG user” son nombres de usuario que tildan de “original” por tener ciertas características como, tener entre 4 a 5 caracteres, ser verbos, sustantivos, adjetivos, o nombres de marcas que no se encuentren alterados por otros caracteres. Por ejemplo: “Open”, “White”, “Kirk”, “Rolex”.

El motivo por el cual acosaban a un hombre de avanzada edad para que entregara su twitter @Tennesee, es que los OG users(ogu) tienen un alto valor monetario, y entre los script kiddies pueden representar prestigio.

La demanda por estos nombres de usuario es tal, que existen mercados que ofrecen a la venta nombres de usuario en todo tipo redes, en la imagen de abajo podemos ver que ponen a la venta nombres de usuarios en Twitter, Youtube, Instagram, y varios videojuegos populares.

En el ejemplo de abajo podremos ver varias cuentas de Twitter a la venta. Los precios varían y podemos ver que las más valiosas están relacionadas con los tokens no fungibles (NFTs), en este caso BoredApes por $3500 y NFTGrowth por $2000. Esto puede ser porque podrían ser utilizadas para realizar estafas.

Existen varios puntos de encuentro para la venta de usuarios, en la imagen de abajo podemos apreciar un servidor de Discord de casi 6 mil miembros. Estos servidores también se convierten en lugares de intercambio de herramientas para los script kiddies.

La impulsividad de los script kiddies, el valor monetario y reputacional de estos nombres de usuario, tiene como resultado en campañas de ciberacoso para obtener a la fuerza lo que quieren, apalancarse en el uso de contraseñas filtradas, o utilizar ingeniería social para obtener las codiciadas credenciales.

#TwitterHack2020: Envía tus Bitcoins y te los duplico😉

Muchos podremos recordar en el 2020 ver tweets de varias celebridades ofreciendo “devolverle a la comunidad” duplicando los Bitcoin que enviaran a la dirección ”bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh”, que como podremos ver abajo era un dirección bastante activa.

Evidentemente se trataba de una estafa, la interrogante era como estaban controlando cuentas como las de Elon Musk, Barack Obama, Bill Gates, Apple, Uber, Bitcoin, Binance, y Coinbase simultáneamente en un periodo tan corto de tiempo. Pero el objetivo real de este ataque no era realizar una estafa de este tipo, esto se trato de un desvió del plan original.

Graham Ivan Clark de 17 años de edad, un script kiddie con los aliases Open, Error, y Kirk#5270 orquesto este ataque. El mismo involucro realizar una investigación de los empleados de Twitter quienes pudiesen tener acceso al valioso panel de administración, y luego realizo spearphishing para obtener las credenciales de accesso.

Como script kiddie Clark tenia una larga trayectoria, inclusive existen doxxings de su persona que datan del 2017 para este entonces tendría alrededor de 13 años, y se le acusaba de realizar estafas a jugadores en Minecraft que involucraban la venta de objetos del juego, y la venta de su nombre de usuario Open.

Con el paso del tiempo Clark paso de estafar jugadores en Minecraft, a realizar ataques de sim swapping para obtener números de teléfonos y realizar recuperación de cuentas, logrando extraer alrededor de $1 millón de dólares en criptomonedas de la cuenta de Gregg Bennet.

El ataque a Twitter era una manera de conseguir OG users. Clark los habría vendido anteriormente en el foro OGusers.com, y conocía que los mismos eran muy valiosos. Interesantemente lo banearon del foro por estafar a sus compradores, por lo cual Clark tuvo que enlistar otros cómplices.

Durante el ataque obtuvieron cuentas como @foreign, @drugs, @xx, @vampires, @dark, y muchas otras que como podemos apreciar en la imagen de arriba planeaban vender por montos entre $5,000 y $3,000 dólares.

Los tres fueron capturados luego que el FBI, hiciera una investigación que incluyo análisis de las direcciones que publicaron para su estafa, y lograran determinar que el propietario de la misma era Mason John Sheppard aka Rolex#0373, entre mucha otra información personal identificable de todos los involucrados.

Como podemos ver los script kiddies tienen la capacidad de ejecutar ataques que pueden tener un gran impacto, y sus motivadores principales son el deseo de fama y reputación(ego), y el dinero.

Esto nos proporciona una reflexión ya que a pesar de sus carencias, no es necesario el uso de métodos sofisticado ni de infraestructura costosa para causar estragos. En el caso de los Script Kiddies les basta con una computadora, y un celular.

Referencias:

• ARS Technica - 13 year old Minecraft player confesses to swatting
• DOJ - USA v. Shane Sonderman
• Department of Justice - Serial Swatter Sentenced to Sixty Months
• Youtube - Minecraft Doxxing Tool (Database Lookup)
• Okta - Script Kiddie
• Youtube - Trolleo en Zoom
• Youtube - IP Camera Trolling Wake Up Call
• CloudFlare - Low Orbit Ion Cannon
• Department of Justice(DoJ) - St.Louis man sentenced for attack on Koch subsidiary
• Medium - Chris Sudlik
• Blockchain - bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
• Cnet - Twitter hack hits Elon Musk, Obama, Kanye West, Bill Gates and more
• PasteBin - Open
• Doxbin - Open
• HappyGamer - Twitter Hacker was well-known Minecraft scammer
• NYTimes - Florida teenager twitter hack
• SeattleTimes - After hackers stole $1M in cryptocurrency, Bellevue venture capitalist launched PR blitz against local company
• DOJ - USA v. Nima Fazeli
• DOJ - USA v. Mason John Sheppard
• Department of Justice(DoJ) - Three Individuals Charged for Alleged Roles in Twitter Hack